Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ocsp.thawte.com probleem (relatie xs4all DDoS?)

18-04-2012, 00:06 door Erik van Straten, 7 reacties

Ik heb problemen met https sites die thawte certificaten gebruiken: ik heb in Firefox namelijk ingesteld staan dat als OCSP checks niet werken, de verbinding moet worden geweigerd. Als ik die eis weghaal duurt het nog steeds meerdere seconden voordat bijv. https://www.google.com/ en https://secure.security.nl/ openen.

Nu ben ik xs4all klant, maar ik vraag me af of de problemen die ik zie iets te maken hebben met de DDoS aanvallen op xs4all van vandaag.

De primaire oorzaak van het probleem [i]lijkt[/i] dat ocsp.thawte.com niet resolved (maar verder alles wat ik check wel): [code]C:\>nslookup ocsp.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66

DNS request timed out.
timeout was 2 seconds.
*** resolver.xs4all.nl can't find ocsp.thawte.com: Server failed

C:\>nslookup www.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66

Non-authoritative answer:
Name: www-thawte-ilg.verisign.net
Address: 69.58.181.130
Aliases: www.thawte.com[/code] (sorry voor de lege regels ertussen, oorzaak is een security.nl bug bij "code" regels in het bovenste bericht).

Interessant is dat USA DNS servers (nog/al) wel werken: zie bijv. [url]http://network-tools.com/default.asp?prog=lookup&host=ocsp.thawte.com[/url] of vul ocsp.thawte.com in op [url]http://www.geektools.com/digtool.php[/url]. Het lijkt dus een xs4all DNS probleem.

Echter, als ik 1 van de IP adressen van ocsp.thawte.com in m'n hosts file opneem werkt het nog steeds niet!

Nb. ocsp.thawte.com heeft meerdere adressen, zie bijv. message 3 in [url]http://community.arubanetworks.com/t5/ArubaOS-and-Controllers/OCSP-on-Firefox/td-p/11129[/url]. Ik heb "199.7.50.72 ocsp.thawte.com" en "199.7.55.72 ocsp.thawte.com" geprobeerd.

Hoe dan ook, het is een zeer onbevredigende situatie dat OCSP van thawte niet werkt!

Zien jullie (bij andere ISP's of ook bij xs4all.nl) dit ook? Heeft iemand een verklaring?

Reacties (7)
18-04-2012, 08:52 door Anoniem
Beetje off-topic:
Behalve dat als mogelijke aanvallers de OCSP server platleggen, Firefox met standaard instellingen dus geen waarschuwing geeft, is er nog een zwakte-punt.
Als ik de uitleg in het Firefox OCSP-menu goed begrijp wordt een certificaat via OCSP gevalideerd via een door het certificaat gespecificeerde OCSP server, ALS er 1 wordt gespecificeerd. Dus als een website is gehacked of er een Man-in-the-Middle aanval word uitgevoerd kunnen de aanvallers in hun valse certificaat gewoon geen OCSP server specificeren of een eigen server opgeven. Het is in Firefox iig wel mogelijk om zelf een OCSP server te specificeren die alle certificaten moet valideren.
18-04-2012, 11:09 door dutchfish
Geen problemen op dit moment wo 18 apr 11:09


monitor:~# dig -t A ocsp.thawte.com

; <<>> DiG 9.6-ESV-R4 <<>> -t A ocsp.thawte.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15175
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ocsp.thawte.com. IN A

;; ANSWER SECTION:
ocsp.thawte.com. 334 IN CNAME ocsp.verisign.net.
ocsp.verisign.net. 1 IN A 199.7.55.72

;; Query time: 33 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Apr 18 11:08:10 2012
;; MSG SIZE rcvd: 80

monitor:~#
18-04-2012, 16:22 door Anoniem
Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?
18-04-2012, 18:13 door Erik van Straten
Dank voor de reacties!

Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.

Door Anoniem: Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?
Het probleem dat ik ondervond was niet alleen DNS, met o.a. "199.7.50.72 ocsp.thawte.com" kreeg ik ook geen OCSP antwoord. Ook zeer vreemd was dat bijv. wel DNS antwoorden kreeg voor www.thawte.com, alleen niet voor ocsp.thawte.com. Dat is niet echt logisch.

Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.
18-04-2012, 19:19 door Anoniem
Probeer in nslookuo gebruik te maken van andere dns server:

nslookup

> server 4.2.2.4
Default Server: [4.2.2.4]
Address: 4.2.2.4

> ocsp.thawte.com
Server: [4.2.2.4]
Address: 4.2.2.4

Non-authoritative answer:
Name: ocsp.verisign.net
Address: 199.7.50.72
Aliases: ocsp.thawte.com

>
18-04-2012, 19:36 door Anoniem
Door Erik van Straten: Dank voor de reacties!

Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.

Door Anoniem: Ik heb gehoord dat door de DDoS ook ns2 van xs4all problemen gaf/eruit lag - wellicht dat het daardoor komt?
Het probleem dat ik ondervond was niet alleen DNS, met o.a. "199.7.50.72 ocsp.thawte.com" kreeg ik ook geen OCSP antwoord. Ook zeer vreemd was dat bijv. wel DNS antwoorden kreeg voor www.thawte.com, alleen niet voor ocsp.thawte.com. Dat is niet echt logisch.

Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.

In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.

Het is inmiddels gefixed.
(@dutchfish : je zegt er niet bij of je het ook vanuit het xs4all netwerk probeerde)
19-04-2012, 11:00 door Erik van Straten
Door Anoniem op 18 april om 19:36: In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.
Ah, thanks!

En wellicht zaten 199.7.50.72 en 199.7.55.72 ook in de buurt van de DDoSers, dat zou verklaren waarom ik met een van die adressen gevolgd door "ocsp.thawte.com" in m'n hosts file vanaf m'n xs4all account ook niet kon bereiken.

Door Anoniem op 18 april om 19:19: Probeer in nslookup gebruik te maken van andere dns server:
Dat heb ik natuurlijk gedaan, maar zoals ik schreef bleek DNS niet het enige probleem: in elk geval twee aan ocsp.thawte.com toegewezen IP adressen waren gewoon niet bereikbaar via xs4all.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.